【導(dǎo)讀】.論文的內(nèi)容和意義...本文的章節(jié)安排?第二章分析與設(shè)計需求.,??..移動存儲設(shè)備濫用?.系統(tǒng)設(shè)計目標(biāo)與性能指標(biāo)?..補丁自動分發(fā)??.接入阻斷技術(shù)...違規(guī)外聯(lián)探測技術(shù)..增量傳輸技術(shù)?.代理轉(zhuǎn)發(fā)技術(shù)?.其他具體功能技術(shù)...數(shù)據(jù)庫訪問設(shè)計..數(shù)據(jù)庫安全設(shè)計..數(shù)據(jù)庫邏輯設(shè)計..數(shù)據(jù)庫物理設(shè)計.信息部門工作的重中之重。保護信息安全的常用手段是保護網(wǎng)絡(luò)、服務(wù)器和。機內(nèi)網(wǎng)終端管理,才能保障單位內(nèi)網(wǎng)信息系統(tǒng)的安全。各個子系統(tǒng)間的關(guān)系,分析了該架構(gòu)與其他應(yīng)用系統(tǒng)的接口。相應(yīng)策略,以確保系統(tǒng)的正常有效運行以達(dá)到預(yù)期目標(biāo)。過去一些安全產(chǎn)品,防火墻和入侵檢測。的防護,這是對待信息安全問題認(rèn)識上的一個誤區(qū)。安全保障體系建設(shè)中的難題和障礙,解決大批量計算機安全管理的困難。網(wǎng)絡(luò)防病毒系統(tǒng)、漏洞掃描系統(tǒng)、信息安全綜合審計系統(tǒng)等,通過這些措施,位在終端安全管理上處于空白狀態(tài)。因此,我們在市場調(diào)研的基礎(chǔ)上,選擇了

　　

【正文】 到一定的影響 ,所以在必要時才使用“鉤子 ,并在使用 完畢后要及時將其刪除。 函數(shù)的安裝。 : : : :: 參數(shù)說明 : 是“鉤子的類型 ,“鉤子”的類型一共有種 ,具體如下 : ?? 系統(tǒng)將消息發(fā)送到指定窗口之前的“鉤子 內(nèi)網(wǎng)終端安全管理系統(tǒng)的設(shè)計與 實現(xiàn) 第三章系統(tǒng)設(shè)計技術(shù)與核心應(yīng)用說明 消息已經(jīng)在窗口中處理的“鉤子 聊 . 基于計算機培訓(xùn)的“鉤子 ?? 差錯“鉤子 前臺空閑窗口“鉤子 接收消息投遞的“鉤子” 『 ? 回放以前通過“鉤子記錄的輸入消息 輸入消息記錄“鉤子” 鍵盤消息“鉤子 ?? 鼠標(biāo)消息“鉤子 】『 對話框、消息框、菜單或滾動條輸入消息“鉤子’’ 外殼“鉤子 ? 系統(tǒng)消息“鉤子 指向“鉤子過程的指針。 “鉤子過程所在模塊的旬柄。 “鉤子’’監(jiān)視的線程。 函數(shù)的返回值是安裝的鉤子的句柄。使用時要注意第二個參數(shù)一般要進(jìn)行類 型轉(zhuǎn)換 ,如 : 一 , ,: 利用技術(shù)細(xì) ,可以鉤掛特定的函數(shù) ,截獲函數(shù)的相關(guān)數(shù)據(jù)。 本系統(tǒng)中我們主要用于鉤掛函數(shù)截獲設(shè)備變動消息 ,然后 通過枚舉所有設(shè)備來找出該存儲設(shè)備的進(jìn)行匹配認(rèn)證。該系統(tǒng)可以禁止內(nèi)網(wǎng)終端安全管理系統(tǒng)的設(shè)計與實現(xiàn) 第三章系統(tǒng)設(shè)計技術(shù)與核心應(yīng)用說明 未經(jīng)認(rèn)證的移動存儲設(shè)備接入內(nèi)網(wǎng) ,防止泄密以及盤病毒傳播。 .其他具體功能技術(shù) 包過濾技術(shù) 根據(jù)協(xié)議類型、訪問區(qū)域等通過軟件對進(jìn)出終端的數(shù)據(jù)流進(jìn)行有選擇的控制 與操作。 策略設(shè)計精細(xì)技術(shù) 策略的有效時段 :策略可按照各種時段和起止點設(shè)定器是否生效。 策略統(tǒng)一問題 :設(shè)計解 決了大型用戶的多級級聯(lián)的策略統(tǒng)一問題 ,策略也可 以對下級管理區(qū)域以至所有的管理區(qū)域進(jìn)行鎖定 ,以達(dá)到方便管理的目的。 策略對象分組方案 :可以按照創(chuàng)建區(qū)域、范圍、操作系統(tǒng)、搜索設(shè)備、 自定義組或所有設(shè)備進(jìn)行策略對象分配 ,同一策略可以對應(yīng)多個分配對象 ,用戶 可以十分方便的使用。 精細(xì)的劃分用戶的權(quán)限 ,可以規(guī)定每個用戶管理的區(qū)域等。 內(nèi)網(wǎng)終端安全管理系統(tǒng)的設(shè)計與實現(xiàn) 第四章系統(tǒng)總體設(shè)計 第四章系統(tǒng)總體設(shè)計 現(xiàn)代網(wǎng)絡(luò)安全管理體系日臻完善 ,外部威脅已經(jīng)相對較小 ,而相對內(nèi)部用戶 的違規(guī)操作、終端脆弱等帶來的威脅 ,已經(jīng)成為 嚴(yán)重影響工作效率和信息安全的 主要威脅。通過近年對國內(nèi)外終端安全管理技術(shù)和發(fā)展趨勢的研究 ,針對政府機 關(guān)和企事業(yè)單位內(nèi)部網(wǎng)絡(luò)及終端安全管理 ,我單位設(shè)計了一套采用 /與 /混 合模式、支持分布式部署、模塊化定制、支持標(biāo)準(zhǔn)、無縫功能擴展等技術(shù)要 求的網(wǎng)絡(luò)終端安全管理系統(tǒng)。 在內(nèi)網(wǎng)終端安全管理系統(tǒng)設(shè)計中遵循網(wǎng)絡(luò)防護和端點防護并重理念 ,對網(wǎng)絡(luò) 安全管理人員在網(wǎng)絡(luò)管理、終端管理過程中所面臨的種種問題提供解決方案 ,實 現(xiàn)內(nèi)部網(wǎng)絡(luò)終端的可控管理 ,并能夠支持多級級聯(lián)廣域網(wǎng)構(gòu)架 ,達(dá)到最佳的管理 效果。內(nèi)網(wǎng)終端安全管理系統(tǒng)強化了對 網(wǎng)絡(luò)計算機終端狀態(tài)、行為以及事件的管 理 ,它提供了防火墻、防病毒系統(tǒng)、專業(yè)網(wǎng)管軟件所不能提供的防護功能 , 對它們管理的盲區(qū)進(jìn)行監(jiān)控 ,擴展成為一個實時的可控內(nèi)網(wǎng)管理平臺 ,并能夠同 其它安全設(shè)備進(jìn)行安全集成和報警聯(lián)動。 .系統(tǒng)架構(gòu)設(shè)計 系統(tǒng)采用 //模式進(jìn)行信息收集和監(jiān)控策略實施 ,在管理 端安裝配置好設(shè)備管理器集成設(shè)備掃描器、數(shù)據(jù)庫等 ,客戶端進(jìn)行數(shù)據(jù)采集 和對客戶端的控制管理 ,網(wǎng)絡(luò)管理人員在管理端統(tǒng)一進(jìn)行策略控制。 系統(tǒng)采用 /結(jié)構(gòu)進(jìn)行維護和管理 ,前臺使用瀏覽方式對用戶進(jìn)行管理 和注冊 ,后臺通過數(shù)據(jù)庫對用戶數(shù)據(jù)加 以統(tǒng)計和存儲。管理員可在網(wǎng)絡(luò)的任 何客戶端通過登錄內(nèi)網(wǎng)管理服務(wù)器的管理頁面進(jìn)行管理和各種信息查詢 。所有的 網(wǎng)絡(luò)客戶端需要安裝客戶端程序以對其進(jìn)行監(jiān)控和管理。 網(wǎng)絡(luò)通過內(nèi)網(wǎng)安全管理服務(wù)器對全網(wǎng)進(jìn)行網(wǎng)絡(luò)客戶端的各種策略和配置、違 規(guī)聯(lián)網(wǎng)監(jiān)控、入網(wǎng)設(shè)備聯(lián)網(wǎng)狀況監(jiān)控、內(nèi)網(wǎng)移動存儲介質(zhì)安全管理 ,并對客戶端 進(jìn)行各種行為和狀態(tài)的監(jiān)控。網(wǎng)絡(luò)客戶端上的客戶端程序可將各種網(wǎng)絡(luò)客戶端的 狀態(tài)信息、日志信息和報警信息上報 ,可對異常計算機進(jìn)行斷網(wǎng)等處理 ,也可通 過系統(tǒng) ,對客戶端進(jìn)行遠(yuǎn)程故障診斷和維護。內(nèi)網(wǎng)終端安全管理系統(tǒng)的設(shè)計與實 現(xiàn) 第四章系統(tǒng)總體設(shè)計 管理服務(wù)器 網(wǎng) 圖 /管理模型 .系統(tǒng)模塊設(shè)計 此系統(tǒng)主要由區(qū)域管理器集成區(qū)域掃描器、客戶端程序、中央管理 控制平臺、管理信息庫模塊這些部分構(gòu)成。系統(tǒng)功能模塊邏輯圖如圖所示 : 數(shù)據(jù)交換 數(shù)據(jù)庫 配置管理平臺 ???叫 指令 :策略獲取 一指令下達(dá) 狀態(tài) :數(shù)據(jù)上報 數(shù)據(jù)交換 區(qū)域掃描器 區(qū)域管理器 指令下達(dá) 掃描發(fā)現(xiàn) 注冊、驗證 阻斷違規(guī) 管理 客戶端程序內(nèi)網(wǎng)終端安全管理系統(tǒng)的設(shè)計與實現(xiàn) 第四章系統(tǒng)總體設(shè)計 圖 ?系統(tǒng)模塊流程圖 .. 管理配置平臺 本系統(tǒng)的管理配置中心。用戶可在網(wǎng)頁方式的管 理控制臺上進(jìn)行系統(tǒng)應(yīng)用策 略制訂 ,配置系統(tǒng)的各項功能參數(shù) ,進(jìn)行系統(tǒng)用戶維護等各種配置操作 。管理配 置平臺同時可以顯示狀態(tài)信息、報警信息和各種日志記錄等各種信息。所有操作 的過程和結(jié)果均存儲在管理信息庫中。具體功能如下 : 系統(tǒng)管理模塊 用戶登陸系統(tǒng)后首先進(jìn)入系統(tǒng)管理中心 ,對需要管理的區(qū)域進(jìn)行區(qū)域劃分與 配置 ,之后可對區(qū)域管理器、區(qū)域掃描器進(jìn)行相應(yīng)的配置。此外 ,系統(tǒng)還提供部 門配置與管理、設(shè)備接入管理、注冊程序配置等功能 ,方便用戶按自己所需進(jìn)行 符合自身實際情況的配置。 策略管理中心 系統(tǒng)將所有控制功能分類地集 成在一個中央策略管理中心完成 ,所有的策略 都可以通過這個策略中心進(jìn)行設(shè)定和部署。同時 ,各項功能可根據(jù)需求按不同登 錄用戶進(jìn)行屏蔽或開放。 中央策略管理中心擁有策略網(wǎng)絡(luò)限制功能 ,根據(jù)情況將已制定策略實施于所 有網(wǎng)絡(luò)或僅限于內(nèi)網(wǎng)。策略管理中心的策略是通過格式進(jìn)行描述 ,充分的滿 足了功能的快速擴展性和版本兼容性 ,使得用戶需求在短期內(nèi)即可完成對整體需 求的配置。 數(shù)據(jù)查詢模塊 用戶可以通過該數(shù)據(jù)查詢中心查詢到策略的執(zhí)行效果 ,符合策略中心所制定 策略的目標(biāo)機器條件都可以查出。并可以顯示機器的硬件和軟件配置信息。以上 都是對已經(jīng)在區(qū)域管理器上已經(jīng)注冊的機器而言。 系統(tǒng)維護模塊 該模塊提供對用戶權(quán)限的劃分和數(shù)據(jù)的重整。系統(tǒng)在此模塊中設(shè)置了超級用 戶和普通用戶 ,方便用戶對系統(tǒng)管理權(quán)限的劃分。并且提供管理員設(shè)置 ,增強了 系統(tǒng)的安全性。數(shù)據(jù)重整可以對設(shè)備信息進(jìn)行整理 ,方便用戶當(dāng)改變、長時 間未開機等情況下對設(shè)備信息進(jìn)行整理更改。內(nèi)網(wǎng)終端安全管理系統(tǒng)的設(shè)計與實現(xiàn) 第 ,章系統(tǒng)總體設(shè)計 ..區(qū)域管理器 它是系統(tǒng)數(shù)據(jù)處理中心。從管理信息庫獲取來自控制臺的各種策略和命令操 作 ,發(fā)送到客戶端程序和掃描器執(zhí)行。區(qū)域管理器同時接收掃描器的信息和客戶 端程序提供的各類狀態(tài)和報警信息 ,發(fā)送至管理信息庫 ,以備管理人員通過中央 管理配置平臺查閱。 各種策略和數(shù)據(jù)通過管理器下達(dá)給客戶端 ,客戶端的策略執(zhí)行結(jié)果通過管理 器上報并存儲在管理信息庫中。 上級區(qū)域和下級區(qū)域之間的命令和數(shù)據(jù)均通過上下級區(qū)域管理器傳達(dá)。 管理器具體功能如下 : 接收掃描器信息和客戶端程序信息 。 對本系統(tǒng)中所有通訊數(shù)據(jù)進(jìn)行處理 ,包括設(shè)備信息數(shù)據(jù)入庫處理、命 令信息發(fā)送、終端數(shù)據(jù)上報等進(jìn)行一一審計分類 ,同時對報警信息提供篩選 ,屏 蔽無用報警信息 。 發(fā)送策略至客戶端 ,通知客戶端程序接收策略。 對客戶端進(jìn)行補丁分發(fā)。 ..區(qū)域掃描器 區(qū)域掃描器集成在區(qū)域管理器中 ,用來掃描和發(fā)現(xiàn)網(wǎng)絡(luò)中設(shè)備及其狀態(tài) ,巡 檢網(wǎng)絡(luò)設(shè)備狀態(tài)變化信息 ,并將這些信息通過區(qū)域管理器上報至管理信息庫 。并 將部分控制信息傳遞給客戶端。具體功能如下 : 通過掃描發(fā)現(xiàn)網(wǎng)絡(luò)中的設(shè)備及其有關(guān)狀態(tài)如開、關(guān)機 ,是否安裝客 戶端程序 。 通過掃描發(fā)現(xiàn)當(dāng)前網(wǎng)絡(luò)的資源占用情況 。 調(diào)度客戶端程序?qū)ξ粗目蛻舳诉M(jìn)行阻斷 。 對客戶端代理軟件進(jìn)行升級 。 向區(qū)域管理器上報掃描發(fā)現(xiàn)的各種信息及掃描器本身狀態(tài)信息 。 對進(jìn)行未知的或異常的客戶端阻斷。 ..客戶端程序 客 戶端程序接收并執(zhí)行管理器制訂的策略 ,在系統(tǒng)中是充當(dāng)策略執(zhí)行者的角第四章系統(tǒng)總體設(shè)計 內(nèi)網(wǎng)終端安全管理系統(tǒng)的設(shè)計與實現(xiàn) 色 ,運行在客戶機上 ,可以采集客戶端種所有管理員關(guān)心的信息 ,如 :客戶端流 量、并發(fā)連接等相關(guān)信息 ,并將這些信息上報到區(qū)域管理器 ,還可以監(jiān)控客戶端 是否有違規(guī)聯(lián)網(wǎng)行為并對客戶端進(jìn)行訪問控制。此外客戶端程序運行在客戶機器 上也充當(dāng)了監(jiān)督者的角色 ,如 :對客戶端的進(jìn)程運行情況、服務(wù)運行情況、權(quán)限 變化等進(jìn)行掃描。對移動設(shè)備接入控制。 客戶端程序除了可以接收管理器的下發(fā)策略外還可以接收掃描器命令 ,該命 令主要是阻斷未安裝客戶端程序的客戶端入網(wǎng) 具體功能如下 : 接收并執(zhí)行管理器置定的策略 。 采集客戶端種所有管理員關(guān)心的信息 ,具備入軟硬件信息、進(jìn)程以及 資源消耗盒各種狀態(tài)等 ,并上報至區(qū)域管理器 。 根據(jù)策略自動獲取文件并執(zhí)行 。 將采集的信息上報到設(shè)